朱桦
金希澈图片《密码法》已经正式实施了⼀年有余,《密码法》中规定相关⽹络运营者应⾃⾏或者委托商⽤密码检测机构开展商⽤密码应⽤安全性评估,开展“密评”⼯作是⽹络运营者和信息系统责任单位必须履⾏的责任,也是维护密码应⽤安全的必然选择。
1、什么是商⽤密码?
商⽤密码是指对不涉及国家秘密内容的信息进⾏加密保护或安全认证所使⽤的密码技术和密码产品。
2、什么是商⽤密码安全性评估?麦林炮手出装
商⽤密码应⽤安全性评估(简称“密评”),是指在采⽤商⽤密码技术、产品和服务集成建设的⽹络和信息系统中,对其密码应⽤的合规性、正确性和有效性进⾏评估。
3、谁需要做密评?孙一宁个人资料
成也萧何败也萧何是什么意思国家⽹络安全和密码相关法律法规明确要求⾮涉密的关键信息基础设施、⽹络安全保护第三级以上⽹络、国家政务信息系统等⽹络与信息系统开展商⽤密码应⽤安全性评估(简称“密评”)⼯作。
4、密评⼯作内容有哪些?
密评⼯作包括两部分重要内容:1)信息系统规划阶段的密码应⽤⽅案评估;2)信息系统建设完成后的信息系统商⽤密码应⽤安全性评估。
⽅案评估:
对于新建/改造信息系统,密码应⽤建设⽅案/改造⽅案,⼀般由责任单位组织商⽤密码从业单位编写, 包括:《密码应⽤解决⽅案》、《实施⽅案》和《应急处置⽅案》。责任单位编写密码应⽤建设⽅案/改造⽅案后,应委托测评机构对⽅案进⾏评估。
系统评估:
依据GM/T0054-2018《信息系统密码应⽤基本要求》等标准,系统评估主要从物理和环境、⽹络和通信、设备和计算、应⽤和数据、密钥管理、安全管理等⽅⾯开展。
5、密评标准是什么?
GM/T0054-2018《信息系统密码应⽤基本要求》
《信息系统密码测评要求(试⾏)》
《商⽤密码应⽤安全性评估测评过程指南(试⾏)》
《商⽤密码应⽤安全性评估管理办法(试⾏)》
《商⽤密码应⽤安全性评估作业指导书》
《商⽤密码应⽤安全性评估测评⼯具使⽤需求说明书》
6、密评⼯作流程?
⽬前“密评”依据0054开展,其基本⼯作流程可归纳为确定评估对象、开展测评⼯作、输出密码测评报告、密评结果上报四个阶段。
7、密评⼯作的结论是什么?杨钰莹老公是谁
密评的结论包括单项测评结论、单元测评结论、风险分析结论及最终的评估结论。
单项(单元)测评结论有:符合、部分符合、不符合、不适⽤; 风险结论有⾼、中、低;最终测评结论有:符合、部分符合、不符合。
8、密评活动结束结果上报要求?
⽹络运营者完成测评⼯作后,获取到“密评”测评报告后需将密评报告、密评结果上报主管部门及所在
地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报⾄系统受理备案(即等级保护定级备案)的公安机关。
9、不做密评或测试结果不合格的影响?
《密码法》第三⼗七条第⼀款
关键信息基础设施的运营者违反本法第⼆⼗七条第⼀款规定,未按照要求使⽤商⽤密码,或者未按照要求开展商⽤密码应⽤安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害⽹络安全等后果的,处⼗万元以上⼀百万元以下,对直接负责的主管⼈员处⼀万元以上⼗万元以下。
《国家政务信息化项⽬建设管理办法》第⼆⼗⼋条第三款
对于不符合密码应⽤和⽹络安全要求,或者存在重⼤安全隐患的政务信息系统,不安排运⾏维护经费,项⽬建设单位不得新建、改建、扩建政务信息系统。
10、密评⼯作测评周期是多少?
《商⽤密码应⽤安全性评估管理办法(试⾏)》第⼆章第⼗条规定:关键信息基础设施、⽹络安全等级保护第三级及以上信息系统,每年⾄少评估⼀次。
发布评论